De meest gestelde vraag over de nieuwe Cyberbeveiligingswet is ook de verkeerde. "Vallen wij eronder?" Je telt je medewerkers, je kijkt naar je sector, je concludeert dat je te klein of te weinig kritiek bent, en je sluit het tabblad met een gerust gevoel. Dat gevoel klopt op papier. En het is precies wat je straks je grootste klant kan kosten.
Sinds begin deze maand is die scope-vraag geen theorie meer. De Cyberbeveiligingswet, de Nederlandse invulling van de Europese NIS2-richtlijn, is definitief per 15 augustus 2026 van kracht voor ruim 8.000 organisaties in achttien sectoren. Geen "naar verwachting", geen "rond de zomer", maar een harde datum. Alleen raakt de wet een veel grotere groep dan die 8.000. Wie zichzelf "niet kritiek" noemt en daarmee buiten schot denkt te blijven, onderschat het onderdeel dat het verst reikt: de keten-eis. Niet de wet trekt je erbij. Je klant doet dat.
Mijn stelling is simpel. "Niet-kritiek" beschermt je niet, want de zorgplicht komt niet via de toezichthouder je bedrijf binnen, maar via het contract van je opdrachtgever.
De wet regelt 8.000 bedrijven en zet er tienduizenden aan het werk
De oude Wet beveiliging netwerk- en informatiesystemen raakte een kleine duizend organisaties. De Cyberbeveiligingswet vele malen meer. Die uitbreiding is het nieuws, maar niet het interessante deel. Het interessante deel is wat elk van die 8.000 organisaties met zijn leveranciers moet doen.
De zorgplicht verplicht hen tot een risicoanalyse en passende, evenredige maatregelen voor hun eigen systemen. Maar een van die maatregelen gaat expliciet over jou: het beheersen van de risico's in de toeleveringsketen. Een essentiele of belangrijke entiteit moet zijn leveranciers in kaart brengen, hun beveiliging beoordelen en die afspraken vastleggen in contracten. De wet regelt daarmee 8.000 bedrijven en zet ze tegelijk aan het werk als controleur van iedereen die aan hen levert. Reken hun toeleveranciers mee en je zit al snel in de tienduizenden.
Dat is de eerste denkfout in "wij vallen er niet onder": je leest de wet als een lijst van wie eronder valt, terwijl het effect zit in wat die lijst met de rest van de markt doet. De scope-check die bepaalt of je een belangrijke of essentiele entiteit bent is nuttig om je juridische status te kennen. Hij zegt alleen niets over de eisen die via je klanten alsnog op je bord belanden.
De eis komt binnen als een vragenlijst, niet als een wetsartikel
Zo voelt de keten-eis in de praktijk: een security-vragenlijst van een grote klant, met NIS2 in de kop. Geen dagvaarding, geen inspecteur, maar een leveranciersformulier bij een offerteronde of een contractverlenging. En de vragen zijn concreet. Kun je aantonen dat je software patcht? Dwing je multifactor-authenticatie af? Heb je securitybeleid dat op papier staat, in plaats van "we regelen het wel" op gevoel? Steeds vaker verwijzen de inkoopvoorwaarden bovenop dat alles naar een keurmerk of certificaat.
Voor de ondernemer die dacht buiten scope te vallen, is dat een ongemakkelijke ontdekking. De wet is misschien niet op jou van toepassing, de eisen zijn dat wel. Ze komen alleen niet van de Rijksinspectie Digitale Infrastructuur, ze komen van degene die je factuur betaalt. En anders dan een toezichthouder hoeft je klant geen zaak op te bouwen. Hij kan de opdracht simpelweg ergens anders neerleggen.
Je contract heeft een kortere deadline dan de wet
Ondernemers rekenen zo'n wet vaak door op het risico van een boete. Voor essentiele entiteiten loopt die op tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet, voor belangrijke entiteiten tot 7 miljoen of 1,4 procent. Indrukwekkende bedragen, maar voor de meeste mkb'ers abstract: het toezicht op belangrijke entiteiten is reactief, en of er ooit een inspecteur langskomt is onzeker.
Contract-druk werkt anders. Die is niet reactief maar direct, en niet onzeker maar aanwezig bij elke aanbesteding. Een boete is een risico dat zich misschien nooit realiseert. Een klant die je vragenlijst afkeurt en de opdracht aan een weerbaarder concurrent gunt, is een verlies dat zich meteen realiseert. Voor een toeleverancier is de vraag daarom niet of hij een boete riskeert, maar of hij zijn beste account houdt.
Dat verschuift ook de deadline. De Cyberbeveiligingswet kent geen overgangsperiode: wie er rechtstreeks onder valt, moet op 15 augustus voldoen. Voor jou als leverancier is de echte datum eerder: de eerstvolgende keer dat een klant die wel onder de wet valt zijn contract met je verlengt of een nieuwe opdracht uitzet. Dat kan volgende maand zijn. Het kan gisteren al geweest zijn.
Om eerlijk te zijn: juridisch klopt jouw tegenwerping
Het eerlijke tegenargument is dat dit juridisch rammelt. Een klant kan een wet die niet op jou van toepassing is, niet op jou van toepassing verklaren. Als jij formeel buiten de scope valt, dan val je buiten de scope, punt. Dat klopt. En toch verandert het niets.
Want je klant hoeft de wet helemaal niet op jou van toepassing te verklaren. Hij hoeft alleen te bepalen met wie hij zaken doet, en dat mag hij. Een beveiligingseis in een contract is geen wetstoepassing, het is een inkoopvoorwaarde, en die is volkomen legaal en steeds normaler. De wet dwingt jouw klant, jouw klant dwingt jou, en de keten waarin dat gebeurt is precies wat de wet wilde beschermen.
De eisen die zo naar beneden rollen, zijn ook niet exotisch. Het zijn multifactor-authenticatie, tijdig patchen en werkende back-ups, de basislagen die je zelf kunt nalopen. Zelfs als je het puur als een opgelegde last ziet, vraagt je klant je om precies datgene te regelen wat je na een incident sowieso had willen hebben. Het "wij vallen er niet onder" is technisch waar en praktisch irrelevant.
De verkeerde vraag, en de vraag die je omzet bepaalt
Daarmee is de scope-vraag niet alleen de verkeerde vraag, maar ook een geruststelling die je op het verkeerde been zet. "Vallen wij eronder?" gaat over de wet. De vraag die je omzet bepaalt, gaat over de markt: kun je aantonen dat je veilig genoeg bent op het moment dat je beste klant erom vraagt?
Dat is de echte verschuiving achter 15 augustus. Cyberweerbaarheid is geen compliance-onderwerp meer dat je afvinkt zodra de wet je dwingt. Het wordt een handelsvoorwaarde, net als een geldige inschrijving of een aansprakelijkheidsverzekering: geen bewijs dat je bijzonder bent, maar het minimum om mee te mogen doen. De wettelijke scope is de ondergrens van wie het moet regelen, niet de bovengrens van wie ermee te maken krijgt.
Wie zichzelf te klein of te weinig kritiek rekent om zich druk te maken, laat die keuze over aan een ander. Niet aan de toezichthouder, die komt misschien nooit. Aan de klant, die volgende week zijn vragenlijst stuurt. En die heeft de deadline allang gezet.
Veelgestelde vragen
Aantoonbaar veilig richting je klanten
Ik denk met je mee hoe je die security-eisen niet in een map met sjablonen stopt, maar in je echte systemen laat landen, en ik ontwerp en bouw de processen en koppelingen die het aantoonbaar maken.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
